Bruselas da un paso más para forzar a los gobiernos a vetar a Huawei de las infraestructuras críticas

En septiembre, la vicepresidenta de la Comisión Europea, Henna Virkkunen, se refirió a la contratación de Huawei por parte del Ministerio del Interior español para operar el almacenamiento de escuchas judiciales, considerando que esto podía generar “una dependencia potencial” con un proveedor catalogado como de alto riesgo, según publicó el medio. Las preocupaciones de Bruselas en torno a la seguridad de las infraestructuras críticas de la Unión Europea han llevado a la Comisión a avanzar en la reforma de la Ley de Ciberseguridad de la UE, cuyas medidas buscan impedir la participación de proveedores extranjeros señalados como riesgosos en las redes móviles del continente y fortalecer el marco jurídico para eliminar vulnerabilidades.

De acuerdo con la información difundida por la Comisión Europea, el nuevo paquete legislativo pretende transformar en obligatorias las, hasta ahora, recomendaciones voluntarias para asegurar la seguridad de las redes 5G. Durante la presentación de la reforma esta semana, Virkkunen señaló que las amenazas cibernéticas afectan “la democracia, la economía y el estilo de vida” europeo, y detalló que el conjunto de acciones propuesto expandirá las capacidades del bloque para proteger las cadenas de suministro tecnológicas y afrontar ciberataques. Según informó el medio, Bruselas busca así que los países del bloque excluyan de sus infraestructuras a proveedores extranjeros como Huawei y ZTE, responsables de parte de la red 5G en varios Estados miembro.

Entre los principales puntos de la iniciativa se encuentra la eliminación obligatoria de riesgos de las redes móviles suministradas por compañías de terceros países calificadas como de alto riesgo, partiendo de los análisis realizados en el marco del conjunto de herramientas de seguridad para 5G. Este cambio implica que una vez vigente la regulación y consolidada la ‘lista negra’ europea de proveedores vetados, los Estados miembro dispondrán de tres años para finalizar los contratos vigentes entre compañías de riesgo y críticas infraestructuras, según reportó la Comisión Europea.

Bruselas ya identificó en 2023 a Huawei y ZTE como empresas que presentan riesgos superiores a otros actores del mercado 5G, y desde entonces recomendó restringir los contratos con ambas tecnológicas, señalando el temor como “justificado”, informó la Comisión. Cerca de una decena de países de la Unión Europea implementaron restricciones o exclusiones a ambos proveedores y la Comisión ha instado al resto de los Estados miembro a seguir el mismo camino para disminuir la exposición de sus redes 5G a posibles vulnerabilidades extranjeras.

Junto con la prohibición progresiva, la reforma busca simplificar la recopilación de datos relativos a ataques tipo ransomware y mejorar la supervisión de entidades operando en distintos países del bloque. Para ello, la agencia ENISA asumirá funciones reforzadas, teniendo más recursos para asistir a gobiernos y empresas en la comprensión y preparación ante amenazas cibernéticas, según detalló el medio.

El proyecto de la Comisión apunta también a renovar el Marco Europeo de Certificación de la Ciberseguridad (ECCF), con el objetivo de racionalizar y hacer más transparente la certificación de productos y servicios que acceden al mercado europeo. La institución propone acortar el proceso de certificación a un máximo de doce meses por defecto y garantizar el acceso a información transparente sobre los requisitos para fabricantes, detalló la fuente.

Estos cambios se presentan en un contexto en el que la Comisión advierte sobre la creciente dimensión estratégica de la ciberseguridad, considerando que dejar en manos de proveedores potencialmente sujetos a injerencias extranjeras el control de las comunicaciones y datos críticos puede poner en peligro la soberanía tecnológica de la UE. La propuesta servirá de marco inicial para las negociaciones entre los gobiernos de los Veintisiete y el Parlamento Europeo, con el fin de definir la versión final de una ley que pretende reforzar la protección de las infraestructuras tecnológicas ante interferencias y riesgos tecnológicos provenientes del exterior, según manifestó la Comisión.

Además de las implicaciones para las redes móviles de quinta generación, el paquete de reformas plantea un enfoque más estrictos sobre los criterios de evaluación de proveedores externos, recurriendo a herramientas ya utilizadas en anteriores directrices de Bruselas para seleccionar empresas a excluir de infraestructuras críticas, indica la información oficial. El análisis de riesgos tendrá en cuenta factores como la capacidad de los proveedores para resistir presiones de gobiernos extranjeros o la existencia de marcos legales en sus países de origen que permitan el acceso a datos o la interferencia en operaciones tecnológicas.

De acuerdo con la Comisión Europea, el nuevo marco no se centra solamente en la exclusión de proveedores, sino que abarca una estructura más amplia de prevención, detención y respuesta ante ataques, con la intención de dar a los Estados miembro mayores garantías a la hora de proteger sus servicios esenciales. La reforma, por tanto, se articula en torno a la ejecución de directrices vinculantes, la vigilancia reforzada y la cooperación entre agencias y gobiernos europeos, junto con procedimientos simplificados y mayor transparencia para los operadores del sector tecnológico.